Web Services身份认证与授权系统的研究与实践

讨论了构建WebServices身份认证与授权系统的若干相关问题 ,着重阐述了如何使用SOAP标头解析模块实现WebServices的身份认证与授权 ,并给出了这种模式在Microsoft.Net平台上的实现。

基于CPN的OAuth协议建模与分析

在云计算环境下,网络安全协议的执行环境变得更为复杂,应用Web安全问题开放授权协议,可以提高信息共享的安全性.本文采用CPN(Colored Petri Net)对OAuth协议进行建模,使用仿真工具CPNTools分析OAuth协议授权码模式的相关性质,并通过仿真实验表明授权码模式可以基于令牌进行验证与授权,防止针对授权码的CSRF注入攻击.

下一代网络业务开放的相关问题

下一代网络是业务驱动的网络,为此业务开放将显得非常关键。本文主要阐述了下一代网络业务开放所采用的合适的接口、业务平台、Web服务、安全与性能、开发运营方式,并且还涉及了国外Parlay产品及其部署。本文最终的结论是目前下一代网络业务开放无论是理论上还是产品及其应用上都相对成熟,国内运营商应在合适的时间给予部署,但需要解决好相关问题。

基于OAuth2.0的认证授权技术研究

为了提高OAuth2.0协议的安全性,文章在深入分析OAuth2.0协议的基础上提出了基于OAuth2.0协议的引入安全节点和同步机制的改进方法,改进了协议的授权流程。OAuth协议为目前较流行的身份认证授权协议,经历了OAuth1.0和OAuth2.0两个版本目前仍在不断的优化中。文章首先研究了OAuth2.0协议的基本原理,针对OAuth2.0协议在实施过程中可能存在的信息泄露方面的安全威胁,提出了基于OAuth2.0的在授权服务器中引入安全节点,同时在授权服务器和资源服务器之间引入同步机制的方法,从而在授权过程前期对授权申请的安全性进行检查并在授权过程中实现授权服务器和资源服务器信息的共享,对OAuth2.0协议进行优化。然后,文章对协议改进的思想和协议的抽象授权流程进行详细描述,对协议的实现架构、具体授权流程进行了详细的介绍。最后,结合工程应用实例给出系统设计方案,对改进的协议进行系统实现,通过协议改进前后的实验效果的对比,验证了改进协议的可行性和有效性。

OAuth2.0协议的优化方法

为保证OAuth2.0协议的安全性,防止实施过程中出现令牌泄露、钓鱼攻击及中间人攻击等威胁,对原有的协议框架进行优化。通过在Authorization Server和Resource Server之间建立信任机制,同步信任信息,在Authorization Server中引入"安全节点"增强安全检查、提高系统的安全性。使用Sycther工具对OAuth2.0协议进行形式化的安全性分析,验证协议存在令牌泄露等安全威胁。协议优化前后的形式化分析及实际应用场景的对比验证结果表明,该方法能够有效抵御令牌泄露、钓鱼攻击等安全威胁,提升协议的安全性。

OAuth 2.0协议在Web部署中的安全性分析与威胁防范

分析了OAuth 2.0协议中两大主流模式的安全机制和实现过程,给出了针对协议中部分敏感数据的威胁模型,针对协议部署过程中常见的安全漏洞提出了访问令牌注入攻击以及针对授权码注入的CSRF攻击的攻击路线,并对若干网站进行测试,结果显示攻击效果良好,验证了攻击方法的有效性,最后提出了相应的防范策略.

遥看iTP钱夹网上行

Tandem计算机公司(该公司去年已经和Compaq公司合并)发布了iTP支付解决方案以支持基于Web的安全电子商务。 在发布的当天,Tandem公司的全球市场副总裁Patrick Smyth说,安全电子商务(SET)标准是一个先进的在Internet上进行安全支付的开放协议。“iTP是一个端到端的基本结构、非常容易扩充,可以很容易地连接到对Internet上买卖双方的交易进行处理的安全鉴别系统中。”